CyberLaka

Когда SIEM начинает истерично мигать красным или прилетает алерт о входе из условной Бразилии, первая реакция любого админа — снести пострадавшую учетку к чертям. Руки чешутся нажать Delete, чтобы просто убрать проблему с глаз долой.
Остановитесь. Удаление учетной записи — это выстрел себе в ногу. Вы стираете SID, ломаете логи для будущего расследования и, что хуже всего, показываете хакеру, что его обнаружили, не перекрыв ему кислород по-настоящему.
Если учетка скомпрометирована, действовать нужно по-другому. Хладнокровно и быстро.
Первым делом мы сбрасываем пароль на сложную 30-значную абракадабру и сразу же ставим статус Disable. Но это только верхушка айсберга. Многие забывают (или не знают), что смена пароля в Active Directory не убивает активные сессии мгновенно. Если у злоумышленника на руках валидный Kerberos TGT, он продолжит читать почту директора и качать файлы еще часов десять, даже если вы сменили пароль трижды.
Поэтому следующий шаг обязателен: удаление сессий. Изолировать хост.
Кстати, о хосте. Если пароль утек, значит, с вероятностью 99% АРМ пользователя заражен. Там может быть кейлоггер или еще какая-то дрянь. Не пытайтесь лечить этот компьютер антивирусом — это пустая трата времени. Считайте железо «грязным», после расследования отправляйте в полную переустановку.
И последнее: пока учетка в заморозке, ищите «закладки». Хакеры любят оставлять бэкдоры. Проверьте настройки MFA (не появился ли там левый телефон?), и обязательно загляните в правила пересылки почты. Очень часто там обнаруживается тихое правило, которое форвардит всю входящую почту на внешний ящик злоумышленника.
В сухом остатке ваш алгоритм выживания: Reset → Disable → Revoke → Re-image. Только в таком порядке.